Waarom het zorgelijk is dat clouddiensten persoonsgegevens opslaan in de VS
Steeds meer mensen maken gebruik van de cloud. Veel data staan niet meer op computers zelf, maar worden opgeslagen op servers van techbedrijven. Daar zitten ook gevoelige persoonsgegevens bij. De vraag is of deze in bijvoorbeeld de Verenigde Staten wel voldoende worden beschermd.
Privacytoezichthouders in heel Europa startten vorige maand een onderzoek naar het gebruik van clouddiensten door landelijke overheden, meldde het Europees Comité voor gegevensbescherming (EDPB) eerder. De waakhonden willen achterhalen waar de grootste problemen op het gebied van privacy zitten bij het gebruik van clouddiensten door overheden.
De toezichthouders zeggen vaak signalen te krijgen dat clouddiensten niet aan de privacywetgeving voldoen. Zo sturen veel clouddiensten data door, bijvoorbeeld naar de VS.
Dat is een risico, want daar worden persoonsgegevens minder goed beschermd dan in Europa. Op grond van de Amerikaanse wetgeving hebben inlichtingen- en veiligheidsdiensten daar het recht om gegevens van EU-burgers in te zien en te gebruiken.
In Europa is dat niet het geval. Binnen de Europese Unie is bovendien het niveau van gegevensbescherming gelijk. Alle lidstaten moeten zich houden aan de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat elke lidstaat zich aan dezelfde regels moet houden op het gebied van bescherming van persoonsgegevens.
Privacy Shield-overeenkomst ongeldig verklaard
Enkele jaren geleden was er wel de zogenoemde Privacy Shield-overeenkomst. Die regelde het verplaatsen en opslaan van gebruikersgegevens tussen Europa en de VS.
Het Privacy Shield beschermde gegevens van Europese burger al beter dan het voorgaande Safe Harbor-verdrag, maar was volgens het Europees Hof nog niet voldoende. Het Hof verklaarde daarom in 2020 dat de overeenkomst ongeldig is.
Zogeheten modelcontractbepalingen zijn nog wel geldig. Dit zijn standaardvoorwaarden die door de EU en gegevensverwerkers zijn opgesteld en die aan de AVG voldoen. Als bedrijven zich aan deze voorwaarden houden, kunnen zij wel data blijven doorspelen aan de VS.
Europa en VS lijken vooral naar elkaar te wijzen
Het probleem is echter dat het nu per individueel geval moet worden bekeken. Dat kost tijd en geld, en zorgt bovendien voor wrijving tussen Europa en de Verenigde Staten.
Het is wel de bedoeling dat er een opvolger van het Privacy Shield komt, maar zo'n overeenkomst laat ruim twee jaar later nog altijd op zich wachten. Europa en de Verenigde Staten lijken op dit gebied vooral naar elkaar te wijzen, waardoor er vooralsnog weinig schot in de zaak zit.